Аппаратные ключи доступа по-прежнему обеспечивают максимальную безопасность: Yubico VP
25 июля 2023 г.Дерек Хэнсон, эксперт по аппаратным и синхронизируемым ключам доступа, тесно сотрудничает с Альянсом FIDO и недавно говорил о ключах доступа на конференции RSA 2023.
Хэнсон поговорил с Карлом Гринбергом из TechRepublic о ряде реализаций ключей доступа, от аппаратного ключа доступа, например, хранящегося на YubiKey, где ключ доступа привязан к устройству и не блокирует пользователя, до общих ключей, управляемых поставщиком (рис. A).
Рисунок А
Карл Гринберг: С совместно используемыми ключами доступа, которые являются программными, а не привязанными к оборудованию, каковы варианты использования физической системы, такой как YubiKey, где ключ доступа не может покидать устройство?
Дерек Хэнсон: Хотя это не то, что каждый человек сочтет необходимым, это критическая дифференциация для более уязвимых групп населения и компаний, особенно для тех, кто работает в правительстве, финансовых услугах и здравоохранении, а также для высокопоставленных потребителей, таких как знаменитости и влиятельные лица.
Карл Гринберг: Какова роль Yubico в разработке паролей?
Дерек Хэнсон: С нашей точки зрения, и даже с точки зрения FIDO, пароли — это доступное для обнаружения удостоверение FIDO2. Если посмотреть на это с точки зрения этого определения, мы делаем ключи доступа уже около пяти лет, и это началось с запуска нашей серии YubiKey 5. И то, о чем мы говорим с ключами доступа — и то, что действительно продвигается прямо сейчас вокруг этого решения для аутентификации без пароля, — это инновация в том, как работают ключи доступа, чтобы ключевой материал, который находился в YubiKey, теперь мог синхронизироваться и управляться программным обеспечением. И это действительно фундаментальное изменение: речь идет о том, где живут эти пароли.
Карл Гринберг: Где находится YubiKey в этом развивающемся пространстве, где ключи доступа основаны на программном, а не на аппаратном обеспечении?
Дерек Хэнсон: С нашей точки зрения, здесь существует очень хороший, здоровый баланс, представляющий собой спектр решений, которые варьируются от более высоких до более низких требований к безопасности. Если люди будут использовать один и тот же способ входа в приложения, от этого выиграет вся экосистема, и у всех будет лучший пользовательский опыт, который будет более последовательным.
Карл Гринберг: Я думаю о YubiKey как о решении с высокой степенью безопасности для предприятий. Каков потребительский вариант использования?
Дерек Хэнсон: На самом деле многие пользователи используют YubiKey для доступа к своим сайтам или своим личным веб-сайтам, и многие из них заходят в социальные сети и на сайты электронной почты, доступ к которым они защищают, если они влиятельные лица или лица в ситуации повышенного риска. Мы не выступаем за то, чтобы каждый потребитель выбирал YubiKey, но за людей, которые заботятся о безопасности, людей с повышенным уровнем личного риска. Мы хотим убедиться, что эти пользователи могут выбрать что-то, что они контролируют и что предлагает более высокий уровень гарантии.
ПОСМОТРЕТЬ: Как 1Password включает пароли (TechRepublic)
Карл Гринберг: И это всегда будет включать в себя систему с закрытыми ключами доступа, хранящимися на физическом устройстве?
ПОСМОТРЕТЬ: В хрустальном шаре 1Password: Никаких паролей! (ТехРеспублика)
Дерек Хэнсон: Да, а также сопряжение физического ключа с их услугами. Так, например, убедитесь, что у меня есть физический ключ, который используется для защиты моей учетной записи iCloud, поэтому, если кто-то украдет мой телефон, у меня все еще будет способ снова войти в свою учетную запись. Если ваши пароли не хранятся на физическом ключе, они хранятся в облачных учетных записях. Итак, риски следующие: Как мне правильно защитить свою облачную учетную запись? В противном случае это просто вложенный набор оболочек, и у вас есть пароль внизу, независимо от того, что вы делаете.
Карл Гринберг: Каковы, с вашей точки зрения, уязвимости ключей доступа, которые делают YubiKeys по-прежнему востребованными?
Дерек Хэнсон: Физический ключ ничем не отличается от ключа от машины. Если я не дам ребенку ключи от своей машины, он не сможет взять ее и куда-то уехать. С ключами доступа, которыми можно делиться, Apple копирует ключ и размещает его на каждом устройстве Apple в семье, а это означает, что у меня не обязательно есть тот контроль, которого я хотел бы.
Карл Гринберг: Верно, конфликт между безопасностью и простотой использования.
Дерек Хэнсон: Я думаю, что вы увидите из этого рост популярности управления ключами доступа в качестве замены менеджерам паролей. Вы даже видите, что Альянс FIDO начинает говорить об этом, и такие компании, как 1Password, движутся в этом направлении. Все сводится к следующему: как мне управлять всеми своими ключами? Кто имеет к ним доступ? Меня не волнует, есть ли у моей семьи доступ к моему ключу доступа Spotify, но ключ доступа к моему 401(k)? Возможно, нет.
ПОСМОТРЕТЬ: RIP Всемирный день паролей! (ТехРеспублика)
Карл Гринберг: Каковы потенциальные проблемы с распространением паролей?
Дерек Хэнсон: Фрагментированная экосистема, в которой некоторые веб-сайты допускают только один тип ключа доступа, а другой веб-сайт допускает другой тип. Мы хотим, чтобы она работала так же, как и ваша кредитная карта: везде, куда бы вы ни пошли, она работает одинаково.
Карл Гринберг: Сколько паролей может храниться на одном YubiKey?
Дерек Хэнсон: Текущая версия YubiKey хранит 25 паролей. Он защищает доступ к моей учетной записи электронной почты, моей учетной записи 1Password, моим учетным записям Apple, Google и Microsoft. Он защищает мою электронную почту и содержит несколько идентификаторов.
Карл Гринберг: Распространение фишинговых атак, появление паролей и растущее осознание необходимости чего-то большего, чем пароли, вызывают всеобщий интерес?
Дерек Хэнсон: Мы наблюдаем большую осведомленность о ключах доступа. Все больше и больше сервисов поддерживают пароли, и я искренне надеюсь, что в течение следующих пяти лет мы увидим радикальное сокращение фишинговой аутентификации на рынке. И это будет из-за паролей. И поэтому у нас будут пользователи, которые используют его, синхронизированные на своих платформах. У нас будут пользователи на YubiKeys; у нас будут пользователи, где это управляется в приложениях.
Оригинал